Руслан Рахметов, Security Vision
Обеспечение кибербезопасности в крупных корпорациях подразумевает работу с разветвленной сетью бизнес-подразделений, с организациями в составе группы компаний или холдинговой структуры, с разнообразными дочерними и зависимыми обществами (сокр. ДЗО). В таких организационно и географически распределенных структурах неминуемо возникает вопрос о проведении самооценки уровня ИБ, поскольку директор по кибербезопасности головной организации физически не имеет возможности проверить качество реализации процессов защиты информации во всех дочерних подразделениях. Решить задачу самообслуживания и самооценки кибербезопасности могут помочь различные средства – от банальных опросников и электронной почты до специализированных платформ автоматизации, о которых мы и поговорим в данной статье.
В крупных корпорациях, холдингах и группах компаний существует определенная иерархия управления: головная (материнская) организация или центральный аппарат (центральный / головной офис, корпоративный центр) определяет стратегические цели, принимает ключевые решения, устанавливает правила и контролирует работу подчиненных (дочерних) компаний / ДЗО / филиалов / представительств. Управление кибербезопасностью также выстраивается по иерархическому принципу, например, директор по ИБ или комитет по рискам в головной компании или центральном аппарате определяют архитектуру ИБ, общую концепцию и высокоуровневые требования: формулируют стратегию и принципы защиты информации, разрабатывают и вводят в действие политики и внутренние стандарты ИБ, формируют процессный фреймворк кибербезопасности, перечисляют минимальные обязательные технические и организационные требования в части ИБ, определяют требования к формам отчетности. Далее сформулированные высокоуровневые требования «спускают» в нижестоящие ДЗО/филиалы, где решаются уже тактические и операционные задачи с определенным уровнем локальной автономии – в зависимости от конкретной реализации организационной модели (жестко централизованная, федеративная, гибридная). Решением этих задач будут заниматься ответственные лица на местах – начальники департаментов/отделов ИБ, специалисты по защите информации или ИТ-специалисты, выполняющие локальные задачи кибербезопасности. Внутренние стандарты ИБ в корпорации, холдинге или группе компаний могут базироваться на различных российских и международных стандартах, фреймворках и лучших практиках, таких как серия стандартов ISO 27000 и 31000, фреймворки NIST Cybersecurity Framework и NIST Risk Management Framework, рекомендации CIS Critical Security Controls (Top-18).
Например, на уровне корпоративного центра определяется единый стандарт защиты конечных точек (определенные СЗИ и версии ОС) и учетных записей (установленная сложность и ротация паролей, использование MFA), создаётся политика обработки конфиденциальной информации (шифрование при хранении и передаче, резервное копирование, выполнение применимых требований законодательства) и разрабатывается стратегия реагирования на киберинциденты, в которой сформулированы общие принципы, роли, процессы, используемые технологии и ожидаемые результаты. В филиалах или ДЗО адаптируются и уточняются требования высокоуровневых политик ИБ головной организации, реализуются технические меры (устанавливаются СЗИ, настраивается инфраструктура), разрабатываются локальные регламенты и инструкции для ответственных. Если в головной компании функционирует SOC (центр мониторинга кибербезопасности), то разработанные внутренние стандарты будут требовать, чтобы дочерние организации/филиалы настроили свои ИТ-системы и СЗИ для пересылки событий ИБ в корпоративную SIEM-систему, с которой работает SOC.
Нормативные требования к ДЗО могут быть не только внутренними корпоративными, но и внешними законодательными, которые обязательны для исполнения и отражаются в государственных НПА, а несоответствие им чревато различными санкциями – от штрафов до приостановки деятельности и административной или уголовной ответственности для ответственных лиц компании или ДЗО. Деятельность корпорации, группы компаний или холдинга может регулироваться различными государственными нормами в области кибербезопасности, включая федеральное законодательство (187-ФЗ, 152-ФЗ, 63-ФЗ, 98-ФЗ и т.д.), государственные стандарты (серия ГОСТ 57580, ГОСТ Р 56939-2024, ГОСТ Р ИСО/МЭК 27001-2021 и т.д.), Положения ЦБ РФ (№№ 757-П, 851-П, 821-П, 779-П, 716-П, 802-П и т.д.), приказы ФСТЭК России (№№ 239, 235, 117, 31, 21 и т.д.), приказы ФСБ РФ (№№ 539, 540, 546, 547, 548, 553, 554 и т.д.) и прочие НПА. Для оценки состояния киберзащищенности ДЗО и степени соответствия ИБ можно применять различные показатели и метрики, которые целесообразно увязать с процессом управления киберрисками, включая юридический риск несоответствия законодательным требованиям.
В результате, к ДЗО применяется масса различных требований, важность и приоритет выполнения которых зависят от потенциального ущерба для всей группы компаний в результате киберинцидента и нарушения законодательных или отраслевых норм. Управлять соответствием этим требованиям вручную становится невозможно – требуется не только сформировать список применимых норм, дедуплицировать и сопоставить их, но и оценить степень соответствия каждому требованию во всех ДЗО / филиалах / представительствах. Использование опросных листов в виде Excel-таблиц со сбором данных через электронную почту уже не является рациональным решением, поскольку ответственные лица будут сталкиваться с общими сложностями управления соответствием, такими как ручное заполнение, отсутствие возможности проверить фактические доказательства выполнения, сложности с контролем версий опросников и своевременностью внесения сведений. Приемлемым с точки зрения удобства и контроля заполнения может быть корпоративный веб-портал с возможностью заполнения опросников и прикрепления вложений с доказательствами выполнения требований (скриншоты настроек, отчёты СЗИ, разработанные внутренние инструкции). Однако наиболее эффективным механизмом сбора информации для самооценки ИБ будет платформа автоматизации с функционалом самообслуживания для внесения сведений ответственными лицами ДЗО, с гибкой настройкой жизненного цикла опросных листов, контролем устранения недостатков, встроенной оценкой уровня соответствия, с построением ресурсно-сервисной модели и интеграциями с корпоративными системами.
Далее опишем требования к функционалу, который должен быть реализован в подобной платформе самооценки ИБ:
1) Построение структурной схемы всей корпорации / холдинга / группы компаний и всех ДЗО, ведение реестра организаций (головной и дочерних организаций, корпоративного центра и филиалов / представительств), учёт юридических и экономических связей между зависимыми организациями.
2) Формирование единой ресурсно-сервисной модели инфраструктуры связанных организаций и филиалов / представительств с ведением учёта взаимосвязанных активов, информационных систем, бизнес-процессов, ресурсов и с поддержкой интеграции с системами классов ITAM, CMDB, ITSM.
3) Наличие предустановленных и декомпозированных на отдельные требования законодательных актов, стандартов, рекомендаций, лучших практик, включая федеральное законодательство (187-ФЗ, 152-ФЗ, 63-ФЗ, 98-ФЗ и т.д.), государственные стандарты (серия ГОСТ 57580, ГОСТ Р 56939-2024, ГОСТ Р ИСО/МЭК 27001-2021 и т.д.), Положения ЦБ РФ (№№ 757-П, 851-П, 821-П, 779-П, 716-П, 802-П и т.д.), приказы ФСТЭК России (№№ 239, 235, 117, 31, 21 и т.д.), приказы ФСБ РФ (№№ 539, 540, 546, 547, 548, 553, 554 и т.д.), стандарты серии ISO 27000 и 31000, фреймворки NIST Cybersecurity Framework и NIST Risk Management Framework, рекомендации CIS Critical Security Controls (Top-18), базы знаний БДУ ФСТЭК России и MITRE (ATT&CK, ATLAS), фреймворки риск-менеджмента COSO ERM и FAIR.
4) Возможность импорта корпоративных стандартов и создания отдельных специализированных требований, выполнение которых будет проверяться.
5) Предустановленные и настраиваемые процедуры оценки соответствия всей корпорации / холдинга / группы компаний и всех ДЗО: выбор применимых требований (внешних и внутренних), включение их в создаваемые опросные листы (анкеты, чек-листы) с возможностью выбора формата ответов (предустановленные выбираемые значения, пользовательский ввод, файловое вложение), выбор целевых объектов для оценки (весь холдинг, отдельные ДЗО, бизнес-процессы, информационные системы, активы и т.д.), настройка и контроль стадий жизненного цикла опросного листа (актуализация, в работе, заполнен, архивирован и т.д.), подготовка личных кабинетов, представлений, ролей для ответственных лиц в ДЗО, рассылка оповещений и приглашений ответственным для заполнения опросных листов.
6) Предустановленные и настраиваемые формулы для оценки соответствия требованиям ИБ: настройка весов вопросов для приоритизации определенных требований, оценка ответов по различным направлениям (например, определенные технические и организационные меры, выполнение требований законодательства по защите персональных данных, выполнение требований по защите учетных записей), расчет сводной результирующей / интегральной оценки соответствия по всем организациям в рамках всей корпорации / холдинга / группы компаний или расчет частной оценки соответствия по отдельному ДЗО, бизнес-процессу, информационной системе и т.д.
7) Формирование и контроль планов мероприятий по устранению несоответствий: на основе результатов оценки соответствия формируются списки задач и мероприятий со сроками и ответственными для устранения выявленных недостатков и приведения в соответствие отдельных ДЗО, бизнес-процессов, информационных систем и т.д., с дальнейшим контролем статусов и сроков исполнения задач, с функционалом отправки уведомлений ответственным при изменении статусов задач или при нарушении сроков, с возможностью обсуждения задач во встроенном чате на платформе.
8) Информирование ДЗО и филиалов / представительств об актуальных киберугрозах, киберинцидентах, проводимых мероприятиях по ИБ, изменениях в законодательстве и в корпоративных стандартах по защите информации в формате информационных бюллетеней с уведомлениями и контролем ознакомления.
9) Интеграция с тикетинг-решениями и системами ITSM для синхронизации задач, интеграция с системами управления рисками и соответствием (SGRC-системами) для учёта результатов самооценки при расчете уровня киберрисков и юридических рисков, интеграция с системами отправки уведомлений / оповещений (мессенджеры, электронная почта, корпоративные средства коммуникации).
10) Визуализация и отчётность о состоянии ИБ: представление обработанной информации и уровня соответствия ИБ на интерактивных дашбордах с функционалом drill down, на графах связей, географических картах и планах помещений, в таблицах и детальных карточках активов, в виде различных индикаторов соответствия (спидометры, светофоры), отображение рейтингов соответствия ДЗО с выявлением лидеров и аутсайдеров, формирование отчётов по собственным шаблонам с настройкой шрифтов и цветов в форматах PDF, DOCX, XLSX, CSV, ODS, ODT и т.д., разграничение доступа к элементам визуализации и отчётам в соответствии с настраиваемой ролевой моделью.
11) Глубокая и удобная кастомизация: использование No-Code/Low-Code конструктора для настройки опросных листов и анкет, изменения логики процесса оценки соответствия, кастомизации панелей визуализации и форм отчётности.
Описанный функционал реализован в продукте Security Vision Self-Assessment (SA), который позволяет выстроить иерархию ДЗО и подразделений в рамках корпорации / холдинга / группы компаний, автоматизировать процесс оценки состояния ИБ с выбором методик на основе применимых предустановленных нормативных требований, стандартов, рекомендаций или на основе уникальных корпоративных правил. Продукт Security Vision SA позволяет гибко кастомизировать весь процесс самооценки соответствия с помощью No-Code/Low-Code конструктора, рассчитывать уровень соответствия на основе заполненных опросных листов с использованием кастомизируемых формул, формировать структурную схему всех связанных организаций / подразделений и единую ресурсно-сервисную модель инфраструктуры, формировать планы мероприятий и задачи для приведения корпоративной кибербезопасности в соответствие требованиям, контролировать исполнение планов и задач, проводить информирование организаций по вопросам ИБ, визуализировать итоги, формировать отчётность.
